【漏洞预警】Apache Tomcat DoS漏洞（CVE-2019-0199）预警通告

预警编号:ns-2019-0009

2019-03-26

高，此漏洞可被攻击者利用，导致服务无法正常运行。

版本：

1.0

1

漏洞概述

近期，官方发布了关于Apache Tomcat HTTP/2拒绝服务漏洞的公告。该漏洞源于应用服务允许接收大量的配置流量，且客户端可以在没有读写请求的情况下长时间保持连接。如果客户端的连接请求数量过多，最终可能会耗尽服务器端的线程资源，成功利用此漏洞的攻击者可以对目标实施拒绝服务攻击。

Tomcat作为Apache软件基金会的一个重要项目，因其稳定性能和免费特性，成为目前广泛使用的Web应用服务器。由于Tomcat的广泛应用，此次公告的漏洞影响范围较大，需引起相关企业的高度重视。根据绿盟科技威胁情报数据，国内公网开放的Tomcat资产数量超过60万。

参考链接：

https://www.php.cn/link/59a57dd9c157d6b95b56dfaebb6a45e3

SEE MORE →

2影响范围

受影响版本

9.0.0.M1 不受影响版本Apache Tomcat 9.0.16Apache Tomcat 8.5.383版本检查

通常，Apache Tomcat的安装包名称中会包含当前版本号，可以通过查看解压后的文件夹名称来确认版本。

通义视频

通义万相AI视频生成工具

70

查看详情

如果Tomcat目录名称被更改，或者通过Windows Service Installer方式安装，可以使用软件自带的version模块来获取当前版本。以Windows系统为例，进入tomcat安装目录的bin目录，运行命令version.bat（Linux系统下运行version.sh），即可查看当前软件版本号。

如果当前版本在受影响范围内，请及时进行更新。

4漏洞防护

4.1 版本升级

官方在新版本Apache Tomcat 9.0.16、8.5.38中修复了此漏洞，请受影响的用户尽快升级。最新版本的下载链接请参考以下列表，根据具体的系统环境选择对应的安装包：

https://www.php.cn/link/6e99ed46f817de00fa66a0650286d735

Apache Tomcat 8.5.38

https://www.php.cn/link/b1fbcfbcd6ef2a9e1166afba6ab057ea

注意：建议用户在升级前备份数据和运行环境，以防升级过程中出现系统不可用的情况。

END

作者：绿盟科技安全服务部

声明本安全公告仅用于描述可能存在的安全问题，绿盟科技不对此安全公告提供任何保证或承诺。因传播、利用此安全公告所提供的信息而导致的任何直接或间接的后果及损失，均由使用者本人承担，绿盟科技以及安全公告作者对此不承担任何责任。

绿盟科技保留对此安全公告的修改和解释权。如需转载或传播此安全公告，必须保证其完整性，包括版权声明等所有内容。未经绿盟科技许可，不得随意修改或增减此安全公告内容，不得将其用于任何商业目的。

以上就是【漏洞预警】Apache Tomcat DoS漏洞（CVE-2019-0199）预警通告的详细内容，更多请关注php中文网其它相关文章！